一款名為 Skitnet（又稱 Bossnet）的多階段惡意軟體，近期成為勒索軟體攻擊者在滲透階段常用的工具之一，用於竊取敏感資料及對受害主機建立遠端控制。

根據瑞士網路安全公司 PRODAFT 向《The Hacker News》透露的消息，Skitnet 自 2024 年 4 月起便已在地下論壇如 RAMP 上販售。然而，到了 2025 年初，該公司觀察到多個勒索軟體集團已在實際攻擊中部署這個工具。

舉例來說，2025 年 4 月，勒索軟體集團 Black Basta 曾利用 Skitnet 發起針對企業網路的 Microsoft Teams 主題網路釣魚攻擊。Skitnet 憑藉其高度隱匿的特性與模組化架構，迅速在網路犯罪圈內獲得關注。

委託駭客工程師：Telegram: @HackM9

技術細節：Rust 與 Nim 結合的惡意架構

Skitnet 是由 PRODAFT 追蹤的一個名為 LARVA-306 的威脅行為者所開發，採用 Rust 和 Nim 等新興語言製作，主要目的是規避傳統防毒軟體的偵測。

其設計包含多項功能模組，包括：

• 持久性機制：在受害者裝置的啟動資料夾中建立捷徑，確保重新開機後仍可運作。
• 遠端控制能力：透過嵌入的 C2（命令與控制）機制對主機發出指令。
• 資料外洩功能：包括螢幕截圖、收集安裝的防毒軟體列表，以及部署合法的遠端控制工具（如 AnyDesk、Remote Utilities）。
• 載入器支援：可下載 .NET 架構的額外載入器程式，用於進一步擴展攻擊。

首個版本於 2024 年 4 月 19 日釋出，以「緊湊工具包」形式提供，包含一個 Rust 編譯的可執行檔，其任務是解密並執行嵌入的 Nim 編譯有效載荷。

DNS 通訊通道：反向 Shell 的創新應用

Skitnet 的核心功能之一，是其透過 DNS 協議來建立反向 shell 的通訊方式。PRODAFT 解釋：

“這個基於 Nim 的二進位檔會啟動多個執行緒，每 10 秒向 DNS 發出請求，並從回應中解析出需執行的指令，執行後再將結果回傳至 C2 伺服器。”

這樣的通訊方式不僅隱密，也更難被傳統防火牆與安全解決方案攔截或察覺。

以下為 Skitnet 所支援的 PowerShell 指令範例：

• 啟動：建立開機捷徑，確保持續運作
• 螢幕截圖：擷取桌面畫面
• Anydesk/Rutserv：部署合法的遠端存取工具
• Shell：執行遠端 PowerShell 腳本並回傳結果
• AV：列出裝置中安裝的安全防護軟體

PRODAFT 表示，Skitnet 是一款結合多語言、多模組、多層加密的高階威脅工具，透過 Rust 的手動映射與 Nim 的 DNS 傳輸策略，成功繞過多數傳統資安防線。

類似威脅：TransferLoader 傳播 Morpheus 勒索軟體

除了 Skitnet，安全研究人員也發現另一種新型惡意載入器 TransferLoader，自 2025 年 2 月起開始活躍。據 Zscaler ThreatLabz 說明，TransferLoader 被用於散布名為 Morpheus 的勒索軟體，攻擊目標包括美國一家律師事務所。

TransferLoader 由三個部分構成：

1. 下載器：從 C2 伺服器獲取並執行有效載荷，同時展示 PDF 誘餌文件
2. 後門程式：負責執行來自 C2 的命令，並可更新自身設定
3. 專用載入器：專為部署後門程式設計

特別值得注意的是，這個後門還會使用 IPFS（星際檔案系統） 作為備援的 C2 傳輸通道，利用其去中心化特性確保指令傳遞不被封鎖。

總結

從 Skitnet 到 TransferLoader，這些新興惡意工具都展現了網路攻擊行為者日益精細的技術與策略。他們正不斷利用現代開發語言、繞過偵測的通訊協定以及合法軟體，建立堅固的攻擊基礎架構。對企業與個人來說，提升資安意識、強化威脅監控與早期偵測能力，將是未來防禦的關鍵。

暗網駭客技術服務中心：承接各類技術項目工程